最近的Dirty Frag漏洞问题,让很多机器都受影响。咱们Ubuntu 24.04系统日常运维中最常用的UFW防火墙——很多新手觉得防火墙配置复杂,其实UFW(Uncomplicated Firewall)就是为简化配置而生的,掌握下面这些技巧,轻松搞定防火墙管理。
1. 装机必做:UFW初始化配置(安全基线)
新装的Ubuntu 24.04,默认UFW是未启用的,第一步就是配置安全基线,避免服务器暴露风险(结合上面的漏洞,这一步更重要了):
# 安装UFW(Ubuntu 24.04默认已安装,可跳过)
sudo apt install -y ufw
# 核心策略:拒绝所有入站,允许所有出站(最安全的默认配置)
sudo ufw default deny incoming
sudo ufw default allow outgoing
# 放行常用服务(必做!否则远程连接会断)
sudo ufw allow OpenSSH # 放行SSH,远程管理必备
sudo ufw allow 80/tcp # 放行HTTP(网站服务)
sudo ufw allow 443/tcp # 放行HTTPS(加密网站)
# 启用UFW,并设置开机自启
sudo ufw enable
# 查看配置状态(确认生效)
sudo ufw status verbose2. 高频操作:UFW规则管理(增删改查)
日常运维中,最常用的就是添加、删除、查看规则,分享几个实用命令,不用记复杂语法:
- 查看规则:
sudo ufw status numbered(带编号,删除规则必备); - 按编号删除规则:
sudo ufw delete 3(删除第3条规则,先查编号再删,避免误删); - 按端口/服务删除:
sudo ufw delete allow 80/tcp;sudo ufw delete allow OpenSSH - 清空所有规则(重置):
sudo ufw reset(谨慎使用,会清除所有配置); - 重载规则(修改后生效):
sudo ufw reload
3. 精准控制:IP/网段/网卡限制
有时候我们需要更精细的控制,比如只允许内网IP连接SSH,拒绝某个恶意IP,这些需求UFW都能轻松实现:
# 只允许特定IP(192.168.1.100)连接SSH
sudo ufw allow from 192.168.1.100 to any port 22 proto tcp
# 允许整个内网网段(192.168.1.0/24)访问网站
sudo ufw allow from 192.168.1.0/24 to any port 80,443
# 拒绝某个恶意IP(1.2.3.4)所有连接
sudo ufw deny from 1.2.3.4
# 只允许内网网卡(eth1)的SSH连接
sudo ufw allow in on eth1 to any port 224. 防暴力破解:UFW限速功能(超实用)
很多服务器被攻击,都是因为SSH、HTTP端口被暴力扫描,UFW自带限速功能,不用额外装工具,一条命令就能防护:
# SSH防暴力:60秒内超过6次连接,自动封禁
sudo ufw limit ssh
# 或按端口设置:sudo ufw limit 22/tcp
# HTTP/HTTPS防CC攻击:同样限速
sudo ufw limit 80/tcp
sudo ufw limit 443/tcp启用后,黑客的暴力扫描会被自动阻断,大大降低服务器被入侵的风险,结合上面的漏洞防护,双重保障!
5. 常见问题排错(新手必看)
很多新手配置UFW后会遇到问题,分享几个高频坑和解决方法:
- 启用UFW后SSH连不上:先执行
sudo ufw allow OpenSSH,再启用UFW,避免误封自己; - 规则修改后不生效:执行
sudo ufw reload,重载规则即可; - 想临时关闭防火墙:
sudo ufw disable(紧急情况使用,用完记得重新启用); - 查看UFW日志(排查连接问题):
tail -f /var/log/ufw.log,过滤拒绝记录用grep "REFUSED" /var/log/ufw.log。
6. 生产环境推荐配置(直接复制)
如果是Ubuntu 24.04生产服务器,推荐直接复制下面的命令,一键完成UFW配置,兼顾安全和实用性:
sudo ufw reset
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw limit ssh
sudo ufw enable
sudo ufw logging medium三、最后总结
近期Linux Dirty Frag漏洞确实需要高度重视,尤其是Ubuntu 24.04用户,目前没有补丁,一定要先执行临时防护命令,阻断漏洞利用路径;而UFW作为Ubuntu默认的防火墙,操作简单、功能强大,掌握上面的技巧,既能日常防护,也能配合漏洞应急,保障服务器安全。